密码管理工具 Bitwarden 调整策略，缓解自动填充漏洞泄露用户信息问题

ICzcz

IT之家 3 月 18 日消息，热门密码管理工具 Bitwarden 于日前发布公告，宣布即将更新应用程序，彻底修复自动填充漏洞，黑客利用该漏洞可以窃取用户密码等相关信息。



Bitwarden 在其 GitHub 页面创建了一个修复程序，调整了页面加载时自动填充的工作方式。Bitwarden 目前只能在受信任的网站域名下自动填充登录数据。

• 默认禁用页面加载之后的自动填充
• 用户在启用自动填充功能之后，Bitwarden 将仅对用户专门添加到应用程序的受信任域和 URL 使用该功能。可信域包括与用户在浏览器中访问的 URL 相匹配的域。
• Bitwarden 用户执行手动自动填充时候，如果尝试填充不受信任的 iframe 会跳出警告。应用程序在弹出窗口中显示 URL，让用户可以选择继续或取消。
  

Bitwarden 说，这“消除了 iframe 攻击向量，同时仍然允许为具有受信任的 iframe 的站点提供方便的自动填充功能”。

cfdiyr

没有用过，对我影响不大。

jemmy8288

这是好事

tao8023yy

还在用keepass。

a8855942

用的浏览器自带。